%-----------------------------------------------------------------------------
\chapter{Umsetzung}
%-----------------------------------------------------------------------------

 

\section{Leitlinie zur IT-Informationssicherheit} 

Die Leitung verabschiedet hiermit folgende Leitlinie zur
IT-Informationssicherheit als Bestandteil ihrer Strategie für die
Softwareprodukte an sich sowie die Entwicklung der Softwareprodukte.



\subsection{Stellenwert der Informationsverarbeitung} 

Die Verarbeitung von Informationen spielt eine Schlüsselrolle für die
Aufgabenerfüllung unserer Kunden. Wesentliche strategische sowie operative
Funktionen und Aufgaben werden durch die von uns zur Verfügung gestellte
Software maßgeblich unterstützt. Ein Ausfall der von uns gelieferten und bei
unseren Kunden vor Ort eingesetzten Software muss daher kurzfristig behoben
werden können. Auch in Teilbereichen darf das System nicht zusammenbrechen.

Der Schutz von der Software verarbeitenden und gespeicherten Informationen vor
unberechtigtem Zugriff und vor unerlaubten Änderungen ist von höchster
Bedeutung. Dasselbe gilt für die Verfügbarkeit der Informationen sowie der
lauffähigen Instanzen der Software.


\subsection{Übergreifende Ziele} 

Die von uns entwickelte Software wird in allen Teilbereichen so entwickelt, dass
die Verfügbarkeit vor Ort in einem hohen Grad gesichert ist bzw. die zu
erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen auf und
Unregelmäßigkeiten in von unserer Software verwalteten Daten sowie der Software
an sich sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel
(Integrität). Die Anforderungen an Vertraulichkeit haben ein normales, an
Gesetzeskonformität orientiertes Niveau. Die Standardsicherheitsmaßnahmen müssen
in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten
Informationen und des IT-Systems stehen. Schadensfälle mit hohen finanziellen
Auswirkungen müssen verhindert werden.

Alle unsere MitarbeiterInnen halten die einschlägigen Gesetze (z. B.
Straf\-gesetz\-buch, Bürgerliches Gesetzbuch, Gesetze und Regelungen zum
Datenschutz) und die vertraglichen Regelungen ein. Negative finanzielle und
immaterielle Folgen für unsere Kunden durch Gesetzesverstöße sind zu vermeiden.
Alle MitarbeiterInnen sowie die Unternehmensführung sind sich ihrer
Verantwortung beim Umgang mit IT bewusst und unterstützen die
Sicherheitsstrategie nach besten Kräften.


\subsection{Detailziele} 

Verspätete oder fehlerhafte Entscheidungen können weitreichende Folgen nach sich
ziehen. Daher ist bei wichtigen Entscheidungen der Zugriff auf aktuelle von
unseren Softwareprodukten verwaltete Daten wichtig. Für diese Informationen ist
daher ein hohes Sicherheitsniveau in Bezug auf Verfügbarkeit sowie Integrität
sicher zu stellen. Die Datenschutzgesetze und die Interessen unserer
Kunden sowie der MitarbeiterInnen verlangen eine Sicherstellung der
Vertraulichkeit der personenbezogenen Daten. Diese werden daher einem hohen
Vertraulichkeitsschutz unterzogen. Für die MitarbeiterInnen unserer
Kunden ist der Zugriff auf die von unseren Softwareprodukten verwaltetenden
Daten elementar. Die Abwicklung der Geschäfte unserer Kunden durch
Verwendung der von uns bereitgestellten Software darf daher nicht verzögert oder
gar gefährdet werden. Wenn gesetzlich festgelegte Fristen nicht eingehalten
werden können, kann dies weitreichende negative Folgen haben. Insbesondere eine
mangelhafte Laufzeitverfügbarkeit der Software aber auch Fehlfunktionen können
sich nachteilig für unsere Kunden auswirken. Dass der laufende Betrieb vor Ort
von unseren Kunden aufrecht erhalten werden kann sowie dass die MitarbeiterInnen
unserer Kunden ständig Zugriff auf korrekte Daten haben hat daher einen hohen
Stellenwert und Schutzbedarf. Die in den von uns zur Verfügung gestellten
Softwareprodukten gespeicherten Daten haben sehr hohe
Vertraulichkeitsanforderungen. Durch deren Verlust oder Diebstahl können
Nachteile entstehen. Durch technische sowie organisatorische Maßnahmen werden
die Vertraulichkeit geschützt sowie Manipulationen vorgebeugt. Innerhalb der
Entwicklungsbereiche werden die Verfügbarkeit und die Fehlerfreiheit der Systeme
zu einem hohen Grad sichergestellt. Stillstandzeiten sind nur in einem sehr
geringen Maße akzeptabel, da diese direkt aber auch indirekt, beispielsweise
durch negative Auswirkungen auf nachfolgende Prozesse, zu Nachteilen für unsere
Kunden führen können. Die Nutzung des Internets zur Informationsbeschaffung und
zur Kommunikation ist für uns selbstverständlich. Weiters ist
selbstverständlich, dass lokale Installationen unserer Softwareprodukte mit dem
Internet verbunden sind sowie ausgehend von diesem erreichbar sein müssen. Durch
entsprechende Maßnahmen wird sichergestellt, dass die Risiken dieser
Internetnutzung, sowohl während der Produktentwicklung, sowie auch in Bezug auf
das Produkt selbst, möglichst gering bleiben.


\subsection{IT-Informationssicherheitsmanagement} 

Zur Erreichung der IT-Informationssicherheitsziele wurde beschlossen, die
IT-Grundschutzkataloge des deutschen Bundesamtes für Sicherheit in der
Informationstechnologie (BSI), welches ISO-27001 kompatibel ist, in der jeweils
aktuellen Fassung umzusetzen. Es wurde eine Sicherheitsorganisation eingerichtet
sowie ein/e IT-Sicherheitsbeauftragte/r benannt. Der/Die
IT-Sicherheitsbeauftragte/r berichtet in seiner/ihrer Funktion direkt an die
Geschäftsführung. Dem/Der IT-Sicherheitsbeauftragten und den AdministratorInnen
werden von der Leitung ausreichend finanzielle sowie zeitliche Ressourcen zur
Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren, um die
vom Management festgelegten IT-Informationssicherheitsziele zu erreichen. Die
AdministratorInnen und der/die IT-Sicherheitsbeauftragte sind durch die
IT-BenutzerInnen ausreichend in ihrer Arbeit zu unterstützen. Der/Die
IT-Sicherheitsbeauftragte ist frühzeitig in alle Projekte einzubinden, um schon
in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen. Sofern
personenbezogene Daten betroffen sind, gilt gleiches für den/die
Datenschutzbeauftragte/n. Alle MitarbeiterInnen haben sich in
sicherheitsrelevanten Fragestellungen an die Anweisungen des/der
IT-Sicherheitsbeauftragten zu halten. Es wurde ein/e Datenschutzbeauftragte/r
bestellt. Der/Die Datenschutzbeauftragte hat ein ausreichend bemessenes
Zeitbudget für die Erfüllung seiner/ihrer Pflichten zur Verfügung. Der/Die
Datenschutzbeauftragte ist angehalten, sich regelmäßig weiterzubilden.



\subsection{Sicherheitsmaßnahmen} 

Für alle Verfahren, Informationen, Anwendungen sowie Subsysteme innerhalb
uns\-erer Softwareprodukte sowie der Produktentwicklung wird eine
verantwortliche Person benannt, die in Zusammenarbeit mit dem
IT-Informations\-sicherheits\-beauftragtem\-/der
IT-Informationssicherheitsbeauftragten den jeweiligen Schutz\-be\-darf bestimmt
und wenn notwendig Zugriffsberechtigungen vergibt. Gebäude und Räumlichkeiten
der Produktentwicklung werden durch ausreichende Zutritts\-kontrollen geschützt.
Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der
Zugriff auf die Daten durch ein restriktives Berechtig\-ungskonzept geschützt.
Computer-Viren-Schutzprogramme werden auf allen IT-Systemen eingesetzt. Alle
Internetzugänge werden durch eine geeignete Firewall gesichert. Alle
Schutzprogramme werden so konfiguriert und admini\-striert, dass sie einen
effektiven Schutz darstellen und Manipulationen verhindert werden. Des Weiteren
unterstützen die MitarbeiterInnen durch eine sicherheitsbewusste Arbeitsweise
diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend
festgelegten Stellen. Datenverluste sowie Systemabstürze können nie vollkommen
ausgeschlossen werden. Durch eine umfassende Datensicherung unserer
Kunden, welche durch unsere Softwareprodukte unterstützt wird, wird daher
gewährleistet, dass der Betrieb von unseren Kunden kurzfristig
wieder\-auf\-ge\-nommen werden kann, wenn Teile des operativen Datenbestandes
verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet
und so aufbewahrt, dass sie schnell auffindbar sind. Um größere Schäden in Folge
von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle
zügig, konsequent und vorrangig reagiert werden. Maßnahmen für den Notfall
werden in einem separaten Notfallvorsorgekonzept zusammengestellt. Unser Ziel
ist, dass auch bei einem Systemausfall die Verfügbarkeit innerhalb einer
tolerierbaren Zeitspanne wiederhergestellt werden kann. Sofern
IT-Dienstleistungen an externe Stellen ausgelagert werden, werden von uns
konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben.
Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe
Out\-sourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit
konkreten Maßnahmenvorgaben. Unsere MitarbeiterInnen nehmen regelmäßig an
Schulung\-en zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen
Sicherheitsmaßnahmen teil. Die Geschäftsführung unterstützt dabei die
bedarfsgerechte Fort- und Weiterbildung.


\subsection{Verbesserung der Sicherheit} 

Das Managementsystem der IT-Informationssicherheit wird regelmäßig auf seine
Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig
daraufhin untersucht, ob sie den betroffenen MitarbeiterInnen be\-kannt sind, ob
sie umsetzbar, sowie in den Betriebsablauf integrierbar sind. Die Leitung
unterstützt die ständige Verbesserung des Sicherheitsniveaus. MitarbeiterInnen
sind angehalten, Vorschläge für mögliche Verbesserungen oder Kenntnisse über
Schwachstellen an die entsprechenden Stellen weiterzugeben. Durch eine
kontinuierliche Überprüfung der Regelungen und deren Einhaltung wird das
angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichung\-en
werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern, um
ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu bleiben.
